Aké zmeny priniesla od 25. 5. 2018 nová legislatíva v oblasti ochrany rodného čísla ako osobného údaju? Prinášame stručný prehľad.
S účinnosťou od 25. 5. 2018 sa začal na území členských štátov EÚ, vrátane SR, uplatňovať jednotný režim ochrany osobných údajov – nariadenie GDPR, ktoré okrem iného prinieslo aj zásadné zmeny týkajúce sa spracúvania rodného čísla. Súčasne začal platiť nový zákon o ochrane osobných údajov č. 18/2018 Z. z., ktorý nahradil dovtedy účinný zákon č. 122/2013 Z. z.
GDPR v čl. 87 uvádza, že členské štáty môžu stanoviť podrobnejšie osobitné podmienky spracúvania národného identifikačného čísla alebo akéhokoľvek iného identifikátora všeobecného uplatnenia. Na základe tohto splnomocňujúceho ustanovenia prijala SR novú úpravu spracúvania rodného čísla ako národného identifikátora.
Rodné číslo ako osobný údaj
Podľa zákona o rodnom čísle rodným číslom je trvalý identifikačný osobný údaj fyzickej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch.
Tak ako starý aj nový zákon o ochrane osobných údajov považuje rodné číslo za všeobecne použiteľný identifikátor fyzickej osoby. Od 25. 5. 2018 sa zmenila kategorizácia i zverejňovanie tohto osobného údaju.
1. Úprava ochrany rodného čísla podľa starého zákona
Podľa predchádzajúcej právnej úpravy patrilo rodné číslo do osobitnej kategórie osobných údajov, teda sa považovalo za citlivý osobný údaj (§ 13 ods. 2 starého zákona). Spracúvať ho bolo možné len vtedy, ak jeho použitie bolo nevyhnutné na dosiahnutie daného účelu spracúvania. Zverejňovanie rodného čísla bolo absolútne zakázané (aj v prípade, ak s jeho zverejnením dala súhlas dotknutá osoba). Za akékoľvek porušenie tejto povinnosti hrozila pokuta.
2. Úprava ochrany rodného čísla podľa nového zákona
Po novom je rodné číslo osobným údajom s rovnakým postavením ako ostatné osobné údaje. Môže sa však považovať za špecifický osobný údaj s vlastným právnym režimom spracúvania (§ 78 ods. 4 nového zákona). To znamená, že rodné číslo už viac nepatrí medzi citlivé osobné údaje.
Rodné číslo už nie je citlivým osobným údajom.
V platnosti zostalo, že spracúvať rodné číslo je možné len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Nový zákon však doplnil, že pokiaľ sa rodné číslo spracúva na základe súhlasu dotknutej osoby, súhlas s jeho spracúvaním musí byť výslovný a nesmie ho vylučovať osobitný predpis. Okrem toho súhlas musí spĺňať aj ďalšie náležitosti, o ktorých sa dozviete v článku Súhlas so spracúvaním osobných údajov podľa GDPR od 25.5.2018.
Taktiež naďalej platí zákaz zverejňovania rodného čísla dotknutej osoby. Nový zákon ale ustanovil jednu výnimku z toho zákazu, ktorou je situácia, že rodné číslo zverejní sama dotknutá osoba.
Zverejniť rodné číslo môže len sama dotknutá osoba.
Upozornenie: Podľa zásady minimalizácie osobných údajov je vždy potrebné zvážiť rozsah údajov nevyhnutne potrebných na spracovanie, teda to, či je rodné číslo vôbec potrebné spracúvať, alebo nie. Pokiaľ je možné konkrétnu osobu identifikovať podľa mena, priezviska, adresy a dátumu narodenia, nie je potrebné spracúvať ešte aj rodné číslo.
Účel spracúvania rodného čísla zamestnanca ako osobného údaju
V pracovnoprávnych vzťahoch je osobou spracúvajúcou osobné údaje svojich zamestnancov zamestnávateľ, ktorý je v zmysle GDPR prevádzkovateľom.
Zamestnávateľ môže získavať osobné údaje svojich zamestnancov len na vopred ním definovaný alebo zákonom stanovený účel. Účelom spracúvania rodného čísla zamestnanca je identifikovanie zamestnanca, ak je využitie rodného čísla nevyhnutné na dosiahnutie daného účelu spracúvania (napr. identifikácia poistenca sociálneho alebo zdravotného poistenia, identifikácia daňovníka).
Právny základ spracúvania rodného čísla zamestnanca
Pri spracúvaní rodného čísla zamestnanca môže zamestnávateľ využiť tieto právne základy:
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je zamestnanec (čl. 6 ods. 1 písm. b/ GDPR) – spracúvanie rodného čísla zamestnanca je nevyhnutné na účely plnenia práv a povinností zamestnávateľa, ktoré mu vyplývajú z uzatvoreného pracovnoprávneho vzťahu,
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti zamestnávateľa (čl. 6 ods. 1 písm. c/ GDPR) – spracúvanie rodného čísla zamestnanca je nevyhnuté, aby ho zamestnávateľ mohol prihlásiť do sociálnej poisťovne (zákon o sociálnom poistení), na účely vedenia mzdového listu (zákon o daní z príjmu),
- výslovný súhlas zamestnanca (§ 79 ods. 4 nového zákona) - len vtedy, keď sledovaný účel nie je možné dosiahnuť inak (využitie tohto právneho základu pre spracúvanie rodného čísla je v pracovnoprávnych vzťahoch veľmi ojedinelé).
Nakoľko každý zamestnávateľ potrebuje spracúvať rodné číslo svojho zamestnanca, je možné považovať za nevyhnutné, keď je rodné číslo uvedené priamo v pracovnej zmluve. Ako sme už uviedli vyššie, v rámci pracovnoprávnych vzťahov je vhodné minimalizovať používanie rodného čísla len na také spracovateľské operácie, ktoré si jeho použitie v skutočnosti vyžadujú (napr. prihlásenie zamestnanca do Sociálnej poisťovne, podanie daňového priznania). Naopak rodné číslo sa nemá používať vtedy, keď to nie je nevyhnutné (napr. v interných záznamoch, na prezenčných listinách zo školení). Zamestnávatelia by sa tak mali vyvarovať nadbytočného využívania rôznych interných formulárov alebo iných dokumentov, v ktorých sú uvedené rodné čísla zamestnancov.